10.5.2 JBoss
JBoss是一个基于JavaEE的开放源代码的应用服务器,2006年,JBoss公司被Redhat公司收购。
JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3.0的规范。但JBoss核心服务不包括支持Servlet/JSP的Web容器,一般与Tomcat或Jetty绑定使用。可以说,Tomcat为JBOSS的一个子集。
JBoss目前最新的版本为7.1。JBoss安装后的默认端口也是8080,访问http://host:8080/即可看到JBoss默认的部署界面,如图10-34所示。
JBoss与Tomcat的部署相似,但是在安全方面,JBoss比Tomcat做得更差,JBoss在默认情况下无须输入账户信息就可以登录后台管理,也就是说,没有密码认证。
图10-34 JBoss默认部署页面
在图10-34中可以看到有一个"JMX Console",这是JBoss的管理台程序。在进入管理界面后找到"jboss.deployment"包,该包下有一个"flavor=URL,type=DeploymentScanner"选项,远程部署连接,如图10-35所示。
图10-35 远程部署连接
单击"flavor=URL,type=DeploymentScanner",进入部署界面,但是此时的部署方式与Tomcat并不一样,Tomcat是在本地上传WAR文件,而JBoss却需要一个URL,这个URL是WAR文件的下载地址,如:
http://www.secbug.org/jsp.war
准备好URL后,在部署界面找到"ADD URL"方法,输入URL,如图10-36所示。
部署界面有两个addUrl()方法,其中一个参数类型为java.net.URL,另一个是java.lang.String,使用任意一个addURL()均可。
然后单击"Invoke"按钮部署,其实这些步骤就是调用"org.jboss.deployment.scanner. URLDeploymentScanner"类的addURL()方法。
图10-36 调用addUrl()方法
单击"Invoke"按钮后,出现"Operation completed successfully without a return value.",表示部署成功,如图10-37所示。
图10-37 弹出部署成功信息
部署成功后就可以访问部署后的文件路径,查看是否成功,地址为"http://www.xxser. com/shell/jsp.jsp",此时的jsp.jsp文件为临时文件,当服务器重启后,文件消失,访问URL,如图10-38所示。
图10-38 部署后成功的jsp.jsp
JBoss各版本的控制台程序界面风格都不一样,本次使用的JBoss版本为4.2.3。无论版本怎么变化,这个在线文件部署的功能却一直存在,都是调用"jboss.deployment→flavor=URL, type=DeploymentScanner→addUrl",如图10-39所示。
图10-39 JBoss 6.1.0 控制台管理界面
JBoss服务器默认没有密码认证策略,所以攻击者常常通过Google Hack来批量获取WebShell。
为了避免出现这种低级的漏洞,服务器管理员必须要将JBoss的jmx-console密码认证开启,或者删除jmx-console。
本文选自《Web安全深度剖析》第十章,本站经电子工业出版社和作者的授权。
版权声明:51Testing软件测试网获电子工业出版社和作者授权连载本书部分章节。
任何个人或单位未获得明确的书面许可,不得对本文内容复制、转载或进行镜像,否则将追究法律责任。
